Okt:2012: Java Zero-Day-Lücke Win/Mac/Linux - neue Lücke

[ian_moone]

Java - Updates und Hinweise zu kritischen Sicherheitslücken Win/Mac/Linux - Update!

Edit by Mornsgrans:
Das Oktober-Update von Oracle brachte keine Besserung. Siehe Beitrag #147

Update 15.01.13:
Die Sicherheitslücke wurde endlich (offensichtlich) geschlossen.
Siehe Beitrag #193

Update 17.01.13:
Neue Lücke entdeckt.
Siehe Beitrag #203


Update 02.02.13:
Neues Update auf 1.7u13
Siehe Beitrag #208


Update 19.02.13:
Weiteres Update auf 1.7u15
Siehe Beitrag #217


-----------------------------------

Update 16.04.13:
Weiteres Update auf 1.7u21
Siehe Beitrag #251


Da ziemlich wichtig, hier nochmal der Hinweis zur Zero-Day-Lücke in Java!

Betroffen sind alle Systeme und alle Browser.


Lösung: Deinstallation von Java oder deaktivieren des Plugins! oder Update! Auf 1.7u21 (siehe unten!)http://www.oracle.com/technetwork/java/javase/downloads/index.html

Die nächsten regülären Java-Updates sieheUpdate-Plan

ZDNet - Alle Betriebssysteme/Browser betroffen - Der Beweis

Heise-Security - BSI warnt vor Java-Lücke



Anleitung zur Deaktivierung des Java-Plugins im jeweiligen Browser:

- bei Chrome/Iron wird JAVA über chrome":"plugins (= : ohne Anführungsstiche!) bzw. chrome://plugins deaktiviert bzw. nach Anleitung

- bei Firefox mit Extras - Addons - Plugins (dort "Java Platform SE...") bzw. nach Anleitung

- bei Opera über opera":"plugins (= : ohne Anführungsstiche!)

- bei Safari nach Anleitung

- bei Internet Explorer nach Anleitung bzw. alternativ unter Solution




Java Update auf 1.7u21 - Release-Notes

 

[Helios]

Naja so schlimm ist es ja auch wieder nicht, sollte es die nächsten Tage ruhig sein und keinen weiteren Lücken auftreten, kann der Thread hier ja auch in 2,3 Wochen "abgepinnt" werden und die weiteren Java-Updates im Software-Ankündigungsthread verschoben werden.

Oha... ein Optimist !

 

[Helios]

Neue Sicherheitslücke in Reflection-API von Java entdeckt

Na also... das Warten hat sich doch gelohnt :

Neue Sicherheitslücke in Reflection-API von Java entdeckt

Die Meldungen über Sicherheitslücken in Java reißen nicht ab: Nachdem Oracle vor genau einer Woche im Rahmen des turnusmäßigen vierteljährlichen Patchday insgesamt 42 Sicherheitslücken in Java geschlossen hat, scheint der polnische Sicherheitsexperte Adam Gowdiak ein weiteres Sicherheitsproblem entdeckt zu haben.

Die Lücke soll sich dabei einmal mehr in der Reflection-Programmierschnittstelle (API) befinden, über die eine Java-Anwendung Klassen dynamisch nutzen kann. Aktuell kann ein Angreifer über diese jedoch die Sandbox umgehen und dann direkt auf das zu Grunde liegende System zugreifen. Wie, das erzählt Gowdiak natürlich noch nicht. Damit der Angriff erfolgreich ist, muss der Anwender aber zunächst die seit dem letzten Update verschärfte Sicherheitswarnung bestätigen, die den Nutzer darüber informiert, dass ein Java-Applet ausgeführt werden soll. Eine Infektion nur durch den Besuch einer Webseite ist damit zunächst nicht möglich.

Betroffen von der Sicherheitslücke ist nach Gowdiaks Angaben neben der aktuellen Java Standard Edition 7, einschließlich der vor Kurzem veröffentlichten Version Java 7 Update 21, interessanterweise auch das das Server-JRE. Die offensichtliche Frage, wie denn der Angriffs-Code in die VM des Servers geraten soll, beantwortet Gowdiak auf der unternehmenseigenen Internetseite seiner Firma Security Explorations lediglich mit einem sehr vagen Verweis auf Software und APIs, die das Einschleusen von Java-Code erlauben. Weiterhin verweist er auf die von Oracle online gestellten Richtlinien für sicheres Programmieren mit Java, und hier im Besonderen auf den Punkt 3-8.

Den Angaben des Sicherheitsexperten zufolge habe er Oracle bereits auf die Sicherheitslücke hingewiesen und zugleich mit einem entsprechenden Proof of Concept belegt. Wann Oracle die neue Sicherheitslücke schließen wird, ist zu diesem Zeitpunkt jedoch noch unbekannt.

Quelle: ComputerBase.de - Neue Sicherheitslücke in Reflection-API von Java entdeckt

 

[MarcusAgrippa]

 

[Helios]

Ein Tag zur Freude :thumbup:. Am 18. Juni wird ein ausserplanmässiges Java-Update auf die Menschheit losgelassen . Na dann, hoffen wir, es enthält nicht den T-Virus .

 

[Helios]

Java SE steht in der Version 7.0 Update 25 zum Bezug bereit.

Release Notes


P.S.: Neil Armstrong würde in etwa sagen: "That's one small step for Oracle… one… giant leap for malware."

 

[Helios]

Gestern, dem 16. Juli 2013, wurden eine Reihe von Oracle-Produkten mit aktualisierten Sicherheitspatches versehen. Java SE 7 Update 25 fällt nicht darunter.

Oracle Critical Patch Update Advisory - July 2013

 

[Mornsgrans]

Mit diesem Beitrag von Helios schließe ich mal den Thread, da das Kernproblem inzwischen nicht mehr (offiziell) besteht.

Helios hält uns in anderen Threads auch über Java auf dem Laufenden. - Ohne den Einsatz der anderen Informationsbeschaffer schmälern zu wollen, gebührt Dir ein Dank dafür, dass Du kontinuierlich uns auf dem Laufenden gehalten hast.

@ian_moone:
Danke dafür, dass Du in unserem Forum Durch Deinen Beitrag den Stein ins Rollen gebracht hattest und ebenfalls dafür sorgest, dass wir stets aktuell informiert wurden.

:thumbup:


Den "sticky" entferne ich erst in ein paar Tagen...